Palo Alto ポリシーカウンター（ヒットカウント）の確認方法

2025年3月17日

動作確認環境

PA-200
- Version 8.1.19

ポリシーのカウンターで利用状況を確認

Palo Alto ファイアウォールでは、セキュリティポリシーや NAT ルールにヒットカウンター機能があります。このカウンターを確認することで、そのポリシーが実際に利用されていることを確認できます。

ポリシーカウンターの確認方法

セキュリティポリシーのカウンターを確認する場合について記載します。

GUI での確認方法

[Policies → セキュリティ] 画面を開きます。

ポリシーリスト欄に、「ルールの使用状況」という項目があります。この項目の「ヒット数」欄にカウンターが表示されています。

CLI での確認方法

以下のコマンドでカウンターを表示できます。

show rule-hit-count vsys vsys-name vsys1 rule-base security rules all

仮想システム（Vsys）機能を使用している環境でカウンターを表示する場合は、上記コマンドの vsys1 の部分を対象の Vsys 名に変更します。

実行例:

admin@PA-200> show rule-hit-count vsys vsys-name vsys1 rule-base security rules all

Rule Name                           Hit Count       Last Hit Timestamp            Last Reset Timestamp          First Hit Timestamp
-----------------------------------------------------------------------------------------------------------------------------------------
Trust_to_Untrust_01                 67              Wed Mar 15 10:57:14 2023      Tue Nov 30 09:27:35 1999      Tue Nov 30 09:27:53 1999
intrazone-default                   0               -                             -                             -
interzone-default                   0               -                             -                             -

Vsys: vsys1
Rulebase: security

上記の Hit Count の列の値がカウント値になっています。

ポリシーカウンターのリセット方法

セキュリティポリシーのカウンターの値を 0 にリセットする方法について記載します。

GUI でのリセット方法

[Policies → セキュリティ] 画面のポリシーリスト欄 >「ルールの使用状況」項目内 >「ヒット数」欄の右側にマウスポインタを当てると、[▼] が表示されるためそれをクリックします。表示されたメニューから「リセット」をクリックすることでカウンターをリセットできます。

CLI でのリセット方法

以下のコマンドでカウンターをリセットできます。

clear rule-hit-count vsys vsys-name vsys1 rule-base security rules list <ポリシー名>

仮想システム（Vsys）機能を使用している環境でカウンターをリセットする場合は、上記コマンドの vsys1 の部分を対象の Vsys 名に変更します。

実行例:

admin@PA-200> clear rule-hit-count vsys vsys-name vsys1 rule-base security rules list Trust_to_Untrust_01

Succeeded to reset rule hit count for specified rules